Kwartaalblad voor de ICT informatievoorziening

De afdeling ICT van het SZF heeft een kwartaalblad ontwikkeld dat moet helpen het inzicht op ict gebied
voor de gebruikers te verbeteren. Het moet meer gezien worden als een voorlichtingsblad. In de diverse
items staan er naast algemen info ook vaak “Tips & tricks” welke zeer handig kunnen zijn voor uw dagelijks
werk op de computer. Vanwege de engelstalige Microsoft software welke hier bij het SZF wordt gebruikt ,
zullen ook deze tips & tricks in het engels worden gepubliceerd, hetgeen dan ook makkelijker is toe te
passen. In deze editie zullen wij het hebben over “Werkplekbeveiliging in de praktijk”.

De meeste organisaties zijn in belangrijke mate afhankelijk van hun informatievoorziening.

Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatie-voorziening. Een
doeltreffende beveiliging van de informatievoorziening, en dus ook van de werkplekken, is in hoge mate
belangrijk voor organisaties. Geautomatiseerde werkplekken zijn vatbaar voor bedreigingen. Om de
beveiliging van werkplekken goed in te kunnen vullen, moet er enerzijds inzicht bestaan in de bedreigingen
die relevant zijn en anderzijds in de maatregelen die mogelijk zijn en de doel-treffendheid van deze
maatregelen.Hierna worden de diverse onderdelen belicht binnen eerder genoemde stelling.

Er zijn werkplekken en werkplekken. Zo maakt het nogal uit of iemand thuis tezamen met huisgenoten op
een notebook werkt, of in een goed gecontroleerde kantooromgeving op een stand-alone PC. We kunnen
onderscheid maken naar de volgende soorten geautomatiseerde werkplekken:
1. Werkplek met stand-alone computer. Hierbij is de computer niet met een netwerk verbonden.
2. Werkplek met „lichte‟ computer. Hierbij is de computer wel gekoppeld aan een netwerk. Alle
belangrijke gegevensverwerking en -opslag vindt elders plaats, bijvoorbeeld op een server.
3. Werkplek met „zware‟ computer. Ook hierbij is de computer gekoppeld aan een netwerk. Een
belangrijk deel van de gegevensverwerking of -opslag vindt echter lokaal plaats.
4. Werkplek met mobiele computer. Hierbij is de computer draagbaar (notebook) en al dan niet
gekoppeld aan een netwerk.

Ieder van deze vier soorten werkplekken kan zowel „op kantoor‟ als „thuis‟ geplaatst zijn. Hoewel de
vatbaarheid voor bedreigingen hierdoor in principe niet verandert, zijn er bepaalde bedreigingen die in de
thuissituatie prominenter zijn, zoals bijvoorbeeld virussen (geïntroduceerd door spelletjes en dergelijke). Op
kantoor kan de werkplek bovendien profiteren van maatregelen die niet specifiek voor de werkplek
getroffen zijn, maar deze wel een extra bescherming geven, zoals centrale toegangsbewaking, centrale
backup, uitgebreide brandbeveiliging, personeelsselectie,
functiescheiding, enzovoorts. In de thuissituatie worden in het algemeen minder van dergelijke maatregelen
getroffen.

Een geautomatiseerde werkplek is een eilandje van informatietechnologie, die al dan niet verbonden is met
andere (centrale) middelen. Dit eilandje is in principe vatbaar voor alle bedreigingen waar andere
informatietechnologie ook vatbaar voor is. In de praktijk komen op de werkplek slechts een beperkt aantal
bedreigingen vaker voor dan gemiddeld één keer per tien jaar:
• Bewuste of onbewuste fouten van gebruikers.
• Gebruik van illegale programmatuur.
• Privé-gebruik van apparatuur en/of programmatuur.
• Storingen in apparatuur of programmatuur.
• Storingen in de stroomvoorziening.
• Virussen.
• Diefstal van apparatuur.
Een tweetal bedreigingen (gebruikersfouten en privé-gebruik) wordt binnen sommige
organisaties wel, maar binnen andere niet als een bedreiging ervaren. Binnen sommige
organisaties wordt privé-gebruik zelfs gestimuleerd.
De mate waarin verschillende bedreigingen voorkomen, kan onder meer afhangen van de branche waarin
de organisatie opereert. Virussen komen bijvoorbeeld bij het onderwijs beduidend vaker voor dan bij de
industrie. Daarentegen treft stroomstoring alle organisaties, zonder onderscheid. De kans op storingen in
apparatuur of programmatuur wordt niet zozeer bepaald door de branche, maar door de hoeveelheid
apparatuur en programmatuur. De mate waarin dergelijke storingen een probleem vormen hangt
daarentegen weer wel af van de branche. Zo zal een storing in de werkplek van een
bank wellicht problematiser zijn dan bij een onderwijsinstelling.

Met bepaalde weinig voorkomende bedreigingen dient toch rekening gehouden te worden, als de
betreffende bedreigingen vanwege de uitzonderlijkheid van de organisatie vaker verwacht worden dan
gemiddeld. Dit geldt bijvoorbeeld voor hacking: normaal gesproken komt hacking zelden voor, maar
sommige organisaties hebben een relatief grote kans om doelwit te worden van hackers, zoals bijvoorbeeld
bepaalde overheidsinstanties.
Als bepaalde weinig voorkomende bedreigingen (bijvoorbeeld sabotage) een ernstige schadepost voor de
organisatie kunnen veroorzaken, dan dient ook met deze bedrei-gingen rekening gehouden te worden.
Dergelijke bedreigingen kunnen opgespoord worden door middel van risicoanalyse.

De verschillende soorten werkplekken zijn in verschillende mate vatbaar voor de ver-schillende

bedreigingen (zie Tabel 1). Een mobiele werkplek is gemiddeld vatbaarder voor bedreigingen dan een
vaste werkplek.

Bedreiging Stand-alone „Licht‟ „Zwaar‟ Mobiel

Gebruikersfouten ooo ooo ooo ooo

Illegale oo o oo ooo
programmatuur
Privé-gebruik ooo o ooo ooo
Storingen app./progr. oo o oo ooo
Stroomstoringen ooo ooo ooo o
Virussen o oo ooo ooo
Diefstal o o o ooo
Vatbaarheid: o = laag, oo = middelmatig, ooo = hoog

In de praktijk wordt het kiezen van maatregelen vooral gebaseerd op de bekendheid van bedreigingen
(brand, hacking, enz.) en niet zozeer op de resultaten van een risicoanalyse. Bovendien spelen ook
gewoonte („iedereen‟ heeft password-beveiliging) en verplichting door derden (bijv. brandweer) een
belangrijke rol. Naast de preventieve maatregelen wordt backup vaak als repressieve maatregel getroffen.
De effectiviteit van backup op de werkplek (gemiddeld 76%) is lager dan verwacht mocht worden.

De meest voorkomende bedreiging, namelijk gebruikersfouten (inclusief gebruik van illegale

programmatuur en privé-gebruik), wordt bij het kiezen van beveiligingsmaatregelen vaak onderschat.
Overigens is deze bedreiging niet specifiek voor de werkplek. Fouten maken is menselijk en alle mensen,
dus ook gebruikers, maken meer dan eens bewust of onbewust fouten. Vanwege de complexiteit van
menselijk handelen, en de variëteit van fouten die gemaakt kan worden, is beveiliging tegen menselijke
fouten een complexe zaak. Beveiligen tegen menselijke fouten dient bij voorkeur niet toegespitst te worden
op de werkplekken, maar organisatiebreed aangepakt te worden.

Desalniettemin dient tenminste één maatregel in ieder geval op de werkplek getroffen te worden, namelijk
toegangsbeveiliging. Behalve aan fysieke toegangsbeveiliging (sloten en door-access points) dient hierbij
ook gedacht te worden aan logische toegangsbeveiliging door middel van bijvoorbeeld een login/password-
systeem.
Welke bedreigingen verder relevant zijn, hangt af van het soort organisatie en de soort werkplek. De
relevante risico‟s kunnen bepaald worden door middel van risicoanalyse. De volgende maatregelen zijn in
het algemeen nodig:
1. Maatregelen tegen brand. Hoewel brand weinig voorkomt, vereist de brandweer normaal gesproken
dat maatregelen tegen brand getroffen worden. Hierbij kan gedacht worden aan brandalarm,
brandblussers, enzovoorts. De effectiviteit van het merendeel van deze maatregelen is echter
bedroevend laag. Indien gegevensverwerking en -opslag lokaal plaatsvindt, dan is meer heil te
verwachten van backup van locale media.
2. Maatregelen tegen storing in apparatuur en programmatuur. Ook hiervoor geldt dat backup
belangrijk is voor werkplekken waar gegevensverwerking en -opslag lokaal plaatsvindt. Aangezien
mobiele apparatuur extra gevoelig is voor storingen (onder andere door vallen en stoten), loont het
de moeite om hiervoor extra maatregelen te treffen (bijv. het beschikbaar houden van
reservecomponenten).
3. Maatregelen tegen stroomstoring. Stroomstoringen treden gemiddeld ongeveer tien keer per jaar
per locatie op. Het merendeel hiervan (95%) duurt echter zeer kort (< 0.2 sec). Indien de apparatuur
niet direct van slag raakt door het wegvallen van de spanning, dan hoeven wellicht geen
maatregelen getroffen te worden. Als dat wel het geval is, of als de continuïteit van de werkplek van
essentieel belang is, dan kan een noodstroomvoorziening (UPS) ingezet worden.
4. Maatregelen tegen virussen. Op de meeste werkplekken is locale antivirus-programmatuur nodig.
Als deze programmatuur up-to-date gehouden wordt, dan is het een zeer effectief wapen tegen
virussen. De succesfactor voor antivirus-programmatuur is het consistente gebruik ervan. In de
praktijk blijkt dat veelal een probleem te zijn. In netwerksituaties kan centrale antivirus-
programmatuur ingezet worden. Het voordeel hiervan is dat consistent gebruik dan beter geregeld
kan worden.
5. Maatregelen tegen diefstal. Vaste werkplekken kunnen relatief eenvoudig tegen diefstal van
apparatuur beveiligd worden met behulp van kabels, sloten, bewakers, en dergelijke. Dit geldt in
mindere mate voor diefstal van kleine onderdelen van apparatuur, zoals bijvoorbeeld dure chips.
Mobiele apparatuur, zoals een notebook, is moeilijk tegen diefstal te beveiligen. Het loont de moeite
om hiervoor maatregelen te treffen die de schade bij diefstal beperken. Een belangrijke regel hierbij
is dat medewerkers niet met meer spullen op stap gaan dan ze nodig hebben. Bovendien kan
encryptie (techniek voor gegevens beveiliging) ingezet worden om vertrouwelijke programmatuur en
bestanden tegen nieuwsgierige blikken te beschermen.

Backup is als repressieve beveiligingsmaatregel werkzaam tegen meerdere bedreigingen. Het dient als het
ware als een soort extra vangnet tegen bedreigingen. De effectiviteit van backup wordt sterk beïnvloed
door de backup-frequentie. Als voor de bestanden waarvoor backup nodig is, deze ook daadwerkelijk
regelmatig (bijv. dagelijks, of na mutatie) en consistent gemaakt wordt, dan is de effectiviteit van backup
zeer hoog (> 90%). In andere gevallen neemt de effectiviteit snel af. Voorts is de plaats waar de backup-
media opgeslagen worden van belang. Erg effectief is een opslag dichtbij, waarbij de backup-frequentie
relatief hoog is, en daarnaast een opslag elders op een veilige locatie, waarbij de backup-frequentie iets
lager is.

Wij zijn ingegaan op de bedreigingen die specifiek betrekking hebben op het geautomatiseerde deel van de
werkplek. Voor de werkplek zijn echter ook de bedreigingen relevant die betrekking hebben op de rest van
de werkplek: bureau, kasten, papieren documenten, telefoon, enzovoorts. Een adequate
werkplekbeveiliging neemt ook deze bedreigingen in beschouwing.
Voorts staat de beveiliging van werkplekken niet op zichzelf. Werkplekken ondersteunen mensen die deel
uitmaken van bedrijfsprocessen. Voor de continuïteit van een organisatie dienen alle bedrijfsprocessen
beveiligd te worden tegen de relevante bedreigingen. Werkplekbeveiliging is daar slechts een onderdeel
van.
EXCEL KEYBOARD SHORTCUTS
These keystrokes change a cell’s format on the fly:
Ctrl-Shift-~ General (hold down the Control and Shift k eys while pressing the tilde key)
Ctr l-Shift-$ Currency with 2 decimal places
Ctrl-Shift-! Number with 2 decimal places and commas
Ctrl-Shift-% Percent with no decimal places
Ctrl-Shift-^ Exponential with 2 decimal places
Ctrl-Shift-# Date with day, month and year
Ctrl-Shift-@ Time with hour, minute and AM/PM indicator
Ctrl-Shift-& Apply the outline border
Ctrl-Shift-_ Remove outline borders
Ctrl-B Apply or remove bold (toggles)
Ctrl-I Apply or remove italics
Ctrl-U Apply or remove underline
C trl-5 Apply or remove strikethrough
Ctrl-; Insert current date into cell
Ctrl-: Insert current time into cell